Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 10. september 2008

Oppdatering rundt Virtumonde

I forbindelse med malvertising-hendelsen for drøyt to uker siden har vi holdt et ekstra øye med Virtumonde-trojaneren.

Blant annet er det verdt å merke seg at domenene relatert til trojaneren har endret ip-adresser:

x1.usawindowsupdates.com, som tidligere resolvet til 85.17.143.213, resolver nå til 82.192.87.21.
x1.mswindowsupdates.com, som tidligere resolvet til 82.98.193.167, resolver nå til 82.192.87.25.

Vi har også sett varianter av trojaneren som går mot x1.statssystem.com (denne resolver også til 82.192.87.21)

Virtumonde-trojaneren blir hovedsaklig benyttet til å vise popup-annonser på de infiserte klientene. Informasjon om hvilke annonser den skal vise mottas fra C&C - x1.usawindowsupdates.com, x1.mswindowsupdates.com, x1.statssystem.com - over port 80/tcp.

Kontroll over infiserte klienter
I tillegg til å sende 'popup'-kommandoer har også bakmennene mulighet til å laste opp og eksekvere hvilken som helst fil på de infiserte klientene. Dette gir i praksis bakmennene full kontroll over de infiserte PC'ene.



Er du infisert?
Denne varianten av trojaneren installerer seg på systemet ved blant annet å droppe en fil under \Windows\System32-katalogen ved navn __c00?????.dat, hvor ????? er en tilfeldige hex-verdi.
Dersom du er i tvil om PC'en din er infisert av akkurat denne trojaneren kan du sjekke om en slik fil finnes på systemet (f.eks: "dir c:\windows\system32\__c*"). Dersom det dukker opp flere filer med samme mønster, __c00?????, kan dette tyde på at trojaneren har mottatt instruksjoner om å laste ned og eksekvere andre filer.

2 kommentarer:

Synnøve Olset sa...

hva gjør jeg dersom filene ligger på maskinen?

Per Kristian Johnsen sa...

Da bør du reinstallere maskinen.

Siden denne trojaneren har en bakdør som gir bakmennene mulighet til å laste opp og kjøre vilkårlige filer på en infisert maskin, er det vanskelig å fastslå med sikkerhet hva slags tilleggsprogrammer som eventuelt kan ha blitt installert. Derfor er en reinstallasjon den eneste helt sikre måten å bli kvitt problemet på.

 
>